ランサムウェア、ロックウイルスとは
ランサムウェアに文書やメディアデータを開けなくされる被害が急増しています。
ランサムウェアの被害にあったコンピュウタやサーバ、ルータなどの管理画面やファイルや文書を 暗号化され開けなくされてしまうだけでなく、金融や顧客情報を奪い、暗号解除鍵を買うよう求めるメッセージボックスが表示されます。
-
被害状況
2015年の7月から9月は、半年前の6.8倍に増えている
トレンドマイクロ社の情報によると 2015年1月から3月までは34件だったが、次の3か月で130件、さらに7月から9月にかけては230件と大幅に増加。半年で6.8倍の急増となっている。
2015年9月2日に「不正広告に日本から900万アクセス、金銭狙う攻撃への誘導が日本でも顕著に」という注意喚起のブログ記事を発表-
Googleサイト利用者の5%は広告マルウェアに感染している
グーグルは、マルウェア対策で1日に約9500件の不正サイトを発見
Googleは、この研究に基づき1400万ユーザーに影響を与えていたChrome機能拡張192種を既に禁止した(Google、カリフォルニア大バークレー校調査)Googleのバナー広告からマルウェア~ランサムウェア感染の恐れも(出典:キヤノン)
Googleのバナー広告に不正なコードが挿入され、ウイルスが配信されたとの情報が公開されています。最終的にランサムウェアに感染する恐れ。-
YouTubeの偽広告でランサムウェアに感染
YouTube上の偽広告からランサムウェア感染へ誘導、主に米国で被害(出展:トレンドマイクロ)
米国だけで30日間で11万3千人のユーザが影響。
YouTubeのサイト上だけでなく、1,100万回以上再生された動画上でも表示されていた。-
アップルのApp Storeにマルウェア混在、認定されたアプリから出現確認
App Store Malware Detected, Removed | Gadget Lab | Wired.com(出典:カスペルスキー)
-
Macの5台に1台が、マルウェアで汚染
検出結果は、「OSX/Flshplyr」75.1%、「OSX /FakeAV」17.8%、「OSX/RSPlug」5.5%、「OSX/Jahlav」1.2%、その他が0.4%。
60万台以上のMacが感染した「Flashback」のほか、クレジットカード情報を狙う偽のウイルス対策ソフトを装った攻撃の対策でウイルスフリーの神話が崩れたあとの調査結果となる。
Macユーザーがウイルス対策ソフトをあまり導入していことで、攻撃しやすいターゲットと見られている。
また、Macユーザーは可処分所得が多い傾向で、サイバー犯罪者からは大きなリターンが望める。
(出典:AntiVirus,英Sophos 日本法人フォス株式会社) -
-
マリシャス コードと感染ルート
ランサムウェアは、ほかのマルウェアと同じ方法で情報システムに侵入します。
ランサムウェアは、単体のマルウェア/アドウェア(以降、「悪意のコード」または「マリシャスコード」といいます。)ではなく、ワーム/ウイルス、スパイウェア、ボットの複合体で構成され、それぞれが悪意の役目をもっているのが大きな特徴です。侵入、設定変更、乗っ取り、ファイル不正暗号処理を無断で実行し、犯罪者がユーザーのコンピュータを遠隔地からロック可能にします。
いわゆる「ハッキング」された状態になります。
ランサムウェアは、ウイルスとして 一般的に周知されていますが、実態はハッカーによる全自動で実行する乗っ取りやクラッキング行為にあたります。信用のあるWebサイトやBlogサイトを改ざんし Webブラウザをのっとり 違法サイトに転送します。
広告やダウンロードファイルに混在し不正侵入します。上の著名サイトのほかに
信頼できる企業や知り合いをよそおうe-mail の添付ファイルのように見せかける手口で拡散させます。
e-mail の添付ファイルには、実行可能なファイル名と、 PDF や Microsoft Office ファイルのように見せかけた偽造アイコンを含んでいます。
そして、本当の.exe 拡張子を偽造するために、 Windows のデフォルト設定である、ファイル名に 拡張子を表示しない設定を利用してだまします。 ランサムウェアは、ユーザーが、とある悪意のあるウェブサイトや、ハッキングされているウェブサイトを閲覧した時に、自動的にダウンロードされることもあ ります。不正広告は600以上の正規サイトに表示され、 日本国内で少なくとも900万件のアクセスがあったとのこと(2015年7月1日から8月21日まで。トレンドマイクロのソフトの利用者での統計)。海外 の4つの広告配信業者(広告ホスティング事業者)から不正広告が配信されていた。
国内の有名サイトのほか、まとめサイト・アダルトサイト、 ニュースサイト、ポイントや動画のウェブサイト、オンラインゲームなど あらゆる広告掲載サイトに不正広告が表示されていた。
「不正広告を配信したサー バへのアクセスは、日本からのアクセスが全体の5割から8割を占めており、特に日本向けサイトに配信されることを目的とした広告であったものと推測され ます」としている。 -
被害の概要
一般的なランサムウェアは、Cryptolocker と命名されている。
2013年9月に出現確認された CryptoLocker は、Windows、Linuxの全バージョン、
2015年には、OSX の全バージョンを攻撃対象としている。 ほとんどのファイルを暗号化し、複合化が完了するとコンピュータとソフトウェアは動作しますが、 ドキュメント、表計算ソフトウェア、画像などの個人ファイルは暗号化されます。この脅威は、LAN上の共有ドライブやサーバに拡散し、データを奪います。
データを暗号処理する際に、SPAMメールを複数配信します。 メールの中には、被害にあっているコンピュータの金融情報、各サイトサービスへのログイン情報、住所録、メール連絡先やLANの設定情報などの情報も送信されます。いわゆる情報流出がおきます。
さらに、オペレーティングシステムをロックし、出現時には対応したリカバリ処理も不能にし、2,048ビットのRSA 公開鍵のアルゴリズムを使って暗号処理し複合化しますのでファイルを解読、複合する方法はありません。 -
ランサムウェア(Ransomware)対策
検出可能な ウイルス検知を主体とする セキュリティーソフトウェアは存在しません。
シマンテック(Symantec)上級副社長ブライアン・ダイ氏が述べたコメント「アンチウイルスソフトは死んだ」は、有名。
解説記事
ウイルス検知ソフトは、実検知率45%以下 (関連サイトiWebhsに移動)このワーム/ウイルス、スパイウェア、ボットを検知する単機能対抗手段転向の方向性については、intelとKasperskyが業務提携して対応を進めています。
他社は一歩遅れているようですが、全体としての製品の用途が大きく転向したことはわかるのですが、購入者やユーザが必要な機能としてみてとれるようになるには、時間がかかるかもしれません。
Anti Ransomware Kit-
intel Security(インテル セキュリティー)のご案内
URL
http://iwebhs.net/hosting/security/security_top.html
ハード・ソフトを 最高クラスの防御性能で保護
ランサムウェアの被害を受けるコンピュータは、セキュア環境の設置や日常の保守やアップデートを 行っていない機械に特定されています。
コンピュータを買ったまま使っている。
ルーターを買ったまま、使っている。
Googleで 検索する時の設定を行っていない。
YouTubeで映像を見る際の設定を行っていない。
オペレ-ティングシステムのアップデートを行っていない。
ドキュメントやデータを作成、編集するソフトウェアの更新を行っていない。
ウェブ ブラウザの更新やサイトコンテンツ閲覧のための設定を行っていない。
以上の設定や更新をひとつでも行っていない場合は、ランサムウェアの被害を受けやすくなります。
次の設定は、ランサムウェアだけでなく 他の攻撃を受けやすくなります。
パスワードは6文字以下にしている。
大文字、小文字の区別をしている程度。
長時間、ネットワークに接続したままにしている。
コンピュータやネット上のサービスにログインするパスワードを めったに変えない。
コンピュータのドキュメントなど大切なデータをバックアップしていない。
バックアップしたデータは、システムから分離していない。
ランサムウェアの被害にあわないためにも セキュア環境に配慮して アップデートを怠らず、脆弱性の通知があったときは、なるべく早く アップデートをすることが大切です。
関連記事
文書を暗号化する人質ロックウイルス
http://iwebhs.com/archives/483
システム攻撃を特定する
http://iwebhs.com/archives/795
ランサムウェアからコンピュータを守る 10の方法
http://iwebhs.com/archives/499
ランサムウェアとは
http://iwebhs.com/archives/509
ランサムウェアを避けるには
http://iwebhs.com/archives/515
ランサムウェアの脅威を避ける対策
http://iwebhs.com/archives/521
ランサムウェアに気付いたらすぐに行動する8項目
http://iwebhs.com/archives/529
intel Security ランサムウェアからデータを守る(資料)
http://iwebhs.com/archives/820
文書を暗号化する人質ロックウイルス システム攻撃を特定する 次の頁